サイバーレジリエンス法(Cyber Resilience Act、略称CRA)(2024年10月成立)は、原則として、デジタル製品(products with digital elements)について水平的なサイバーセキュリティ要件を課すものですが、デジタル製品を、一般的なデジタル製品(products with digital elements)、重要デジタル製品(important products with digital elements)クラスI、重要デジタル製品クラスII、重大デジタル製品(critical products with digital elements)の4つのカテゴリに分け、各カテゴリについて準拠すべき統一規格(harmonised standards)1や採用すべき適合性評価手続を設けています。
上図において下にいくほど求められるセキュリティ水準が高いカテゴリとなっており、各カテゴリに該当する製品は、CRAの附属書III(重要デジタル製品)、附属書IV(重大デジタル製品)に記載されています。
| 重要デジタル製品 クラスI | 1. 認証及びアクセス制御リーダー(生体認証リーダーを含む。)などの、アイデンティティ管理システム並びに特権アクセス管理ソフトウェア及びハードウェア 2. スタンドアロンかつ組込み型のブラウザ 3. パスワードマネジャー 4. 悪意のあるソフトウェアを検索、削除、又は隔離するソフトウェア 5. 仮想プライベートネットワーク(VPN)機能のあるデジタル製品 6. ネットワーク管理システム 7. セキュリティ情報イベント管理(SIEM)システム 8. ブートマネジャー 9. 公開鍵インフラストラクチャ及びデジタル証明書発行ソフトウェア 10. 物理及び仮想ネットワーク・インターフェイス 11. オペレーティングシステム 12. インターネットへの接続を目的としたルーター、モデム、及びスイッチ 13. セキュリティ関連機能を備えたマイクロプロセッサ 14. セキュリティ関連機能を備えたマイクロコントローラ 15. セキュリティ関連機能を備えた特定用途向け集積回路(ASIC)及びFPGA 16. スマートホーム汎用仮想アシスタント 17. スマートドアロック、セキュリティカメラ、ベビーモニタリングシステム、アラームシステムなどのセキュリティ機能を備えたスマートホーム製品 18. 欧州議会及び理事会の指令 2009/48/ECの対象となるインターネット接続玩具で、ソーシャルインタラクティブ機能(会話や撮影など)又は位置追跡機能を備えているもの 19. 健康モニタリング(追跡など)の用途があり、規則(EU) 2017/745もしくは規則(EU) No 2017/746が適用されない、人体に装着もしくは配置する個人用ウェアラブル製品、又は、子供が使用することを目的とした個人用ウェアラブル製品 |
| 重要デジタル製品 クラスII | 1. オペレーティングシステム及び同様の環境について仮想実行をサポートするハイパーバイザー及びコンテナランタイムシステム 2. ファイアウォール、侵入検知及び侵入防止システム 3. 改ざん防止マイクロプロセッサ 4. 改ざん防止マイクロコントローラ |
| 重大デジタル製品 | 1. セキュリティボックスを備えたハードウェアデバイス 2. 欧州議会及び理事会の指令(EU) 2019/944第2条(23)で定義されるスマートメーターシステム内のスマートメーター・ゲートウェイ、及びセキュアな暗号処理を含む高度なセキュリティを目的としたその他のデバイス 3. セキュアエレメントを含むスマートカード又は類似のデバイス |
この重要製品、重大製品に該当する製品の技術説明は実施法に委ねられていたところ、当該実施法が、2025年11月28日に成立しました。
この実施法の附属書Iに重要デジタル製品のクラスI・クラスIIに該当する製品の技術説明が、附属書IIに重大デジタル製品に該当する製品の技術説明が記載されています。
これらに該当するかによって、どの統一規格に準拠すべきか、どの適合性評価手続を採用すべきかが異なってきますので、ご注意ください。
- 統一規格については今後策定される予定とされています。 ↩︎